ntopng リアルタイムL7高速トラフィック分析ツール

高速トラフィック分析 セキュリティ・障害インシデント検知 ntopng

ntopngとは

リアルタイム性が高いL7高速トラフィック分析を実現し、フローコレクターとして長期のトラフィック分析ができます。基幹ルーターのミラーポート/RITE/TAPと直接接続することで、高速のトラフィック分析ツールとして動作します。また、ntop社が販売するNetFlowプローブ*1 nProbeと連携することで対象ルーターが分散した環境でもNetFlow v5,v9/IPFIXによるトラフィック分析が可能となる高速トラフィック分析ツールです。

*1 NetFlowプローブに関しての説明は、こちらをご参照ください。

なぜ、他製品の追随を許さない高速トラフィック分析ツールなのか

  • PF_RING™*2を利用することで他にない高速パケットキャプチャ、フィルタリングを実現
  • Blacklist, 障害ルールを活用してネットワークの異常な振る舞いを高速で検知するアラートエンジン
  • nDPI(ntop Deep Packet Inspection)*3を利用することでL7まで可視化

*2 PF_RINGに関しての説明は、こちらntop社サイトへをご参照ください。

*3 nDPIに関しての説明は、こちらをご参照ください。

進化し続ける高速トラフィック分析ツールntopngが選ばれる理由

ntop社のプロダクトは、日々ものすごいスピードで進化しています。
開発はgithub上で行われており、誰でも開発状況を確認することができます。
2020年1月現在のv3.9時点では、以下の主要機能を有しています。

L7サポート

nDPI(ntop Deep Packet Inspection)テクノロジーを活用して、アプリケーションプロトコル(Facebook, YouTube, BitTorrentなど)を発見

リアルタイム表示

リアルタイムネットワークトラフィックとアクティブなホストを表示

マップサポート

地理的マップでホストをジオロケーションおよびオーバーレイ

L2サポート

完全なレイヤー2サポート(ARP統計を含む)

外部データベースと連携したアラートエンジン

Cisco Talos Intelligence, Ransomware Domain Blocklistといった外部リソースを利用して、ローカルネットワーク内の異常な振る舞いをアラート

一般のフローコレクタを超越した機能と性能

  • リアルタイムスループット,ネットワーク及びアプリケーションのレイテンシ,ラウンドトリップタイム(RTT),TCP統計(再送信、順序の乱れたパケット,パケットの損失)及び送信されたバイトとパケットの監視とレポート
  • 永続的なトラフィック統計をディスクに保存、将来の調査と事後分析を実現
  • トップトーカー(送信者/受信者), トップAS, トップL7アプリケーションを確認
  • IPアドレス、ポート、L7プロトコル、スループット、自律システム(AS)など多くの基準に従ってネットワークトラフィックを並べ替え

ntopngシステム導入イメージ

単一拠点導入例

単一拠点であれば、ntopngをインストールしたPCのみで高速パケット分析が可能です。

ntopngシステム導入イメージ-単一拠点導入例

  • 既設のルータでミラー/RITE/TAPを使ってパケット複製。設定いらず。ケーブルを挿すだけ
  • xFlowに対応していないルーターでも1台のPCを準備するだけ
  • 同メーカ製品のnProbeと組み合わせて、本社Proxyモード、支社Probeモード利用で分散配置も可
  • 他社にないプローブ・コレクターの集約モデルを実現

複数拠点導入例

分散拠点の場合でもnProbeと連携して、高速パケット分析環境を構築できます。

ntopngシステム導入イメージ-複数拠点導入例

  • 遠隔拠点にnProbeを配置。各拠点のnProbeがフローデータを本社に送信します。
  • 日本本社では遠隔拠点から受信したフローデータ及び本社装置のトラフィックをntopngでトラフィック分析を実現します。

ntop社について

ntopngの開発元であるntop社は、1998年にシンプルで効果的なトラフィックモニタリング基盤を作ることを目的として開始したオープンソースプロジェクトを起源とするイタリアの会社です。

小さい会社ながら高機能・高品質のソフトウェアを開発し、多くの顧客とOSSユーザーを獲得しています。

ntopngの概要がわかる動画(13分)